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Боты 


Полезные Потенциально-опасные Вредоносные 
соцсети и мессенджеры, |индексирующие боты, сканеры уязвимостей и 
которые делают превью которые не приносят нетаргетированные 

трафик (5Подап, сепзу$) эксплойты 
системы аналитики и парсеры контента ОБо$-боты на 17-уровне 


доступности сайтов 


поисковые боты спам-боты Кликботы, 5М$-бомберы 


индексируют сайты 
(но) НН оаа"" 


Боты 


НЕ) НЕНГоаа"" 


Как определить, что боты среди нас? 


НЕ) НЕНГоаа"" 


Есть ли боты и сколько их 


1. Смотреть в аналитику (или внедрять ее) 

2. Забрать оттуда ключевые метрики пользователей 
з. Разметить трафик 

4. Внедрять защиту 


5. Перейти к пункту 1, чтобы оценить усилия 


(но) ННоаа"" 


Методы противодействия 
автоматизации 


(но) ННЕоаа"" 


Сар{спа 


Выберите все изображения, где есть 
дорожные знаки 


Пользователи — бесит. 
Бизнес — падает 
конверсия. 


к и ин | Парадокс, что капчу боты 


обходят быстрее людей. 


Ригтйе ри22[е ва 


НЕ НИГоаЯ"" 


Сар{спа 


&, теСАРТСНА 2 

К, теСАРТСНА чз 

Е, теСАРТСНА емегриве 
Г гесАРТСНА Емтегризе 
У! уапоо © Зрошу 

@ ЮСар{спа 

@ РипСарсВа Вейа 
© 


СееТезЕ Вега 


т Сарева 


Цена за 1 000 
$0,6 
$0,9 

$1 

$4 
$0,8 
$0,6 
$0,6 


$0,3 


Успешность 


© 99% 


© 99% 


© 97% 


© 98% 


© 99% 


© 91% 


© 92% 


© 99% 


Скорость решения 


(010$ 


(05$ 


(011$ 


(010.5$ 


(011$ 


(013$ 


(023$ 


(00.8 $ 


е Бьет по 0Х 

Падает конверсия 

е Низкая стоимость 
решения для 
злоумышленников 


Мнение: 

Применима в местах, 
где для успешной 
атаки нужны сотни 
тысяч действий* 


НЕ) НЕНГоаа"" 


Ргоот ОР \Могк 


Спесктоад уоцг Бгоми5ег БеГоге ассезз5та дЩаб.сот. 


Ты ргосе$$ 15 ащотанйс. Уоицг Бго\м/зег м!!! гедтес{ фо уоиг гедиееа сощег{ эпоЦу. 


Реазе аЙо\ ир {о 5 зесопа$... 


Алгоритм для вычислений, 
который потребует много 
ресурсов от клиента, но 
легко проверяется на 
сервере. 


Технология, состоящая из 
компромиссов. 


НЕ) НЕНГоаа"" 


Ргоот от \\огк 


Бьет по рейогтапсе 
Стоимость типичной спамерской атаки почти не вырастает, если 
заставить его что-то считать 

® Нужна поддержка маломощных (и старых устройств). А значит Ро\/\/ 
злоумышленника будет считаться еще быстрее 

® Можно посчитать Ро\// и использовать его на боте (и другие 
уязвимости) 

е Надо вести белый список хороших ботов, чтобы не ломать превьюшки 


Мнение: применим в случае О/оЗ$-атаки на (7, если у вас есть такие атаки 


(но) ННЕоаа"" 


Анализ поведения 


Ко Я мчурине кет схымосальыь ши) пчиыщащинини ср чету — о 1-4 
Ф. 


Анализ поведения не дает 
ным ш | Модель, которая хорошо 


а © ` пе - ©. =.  вычищает ботов, но не 


ееы затрагивает пользователей. 
ея 
Обучить нейронку и 

ыы автоматизировать действия 
пользователей не дороже, 
чем построить аналитику. 


(но) ННЕоаа"" 


Анализ поведения 


Имитация просмотра страницы 2х 


ео Газе розШм\е, срезаем часть трафика 
е Газе педануе, оставляем часть 


ботов 


Много времени уходит на рутину? М нение: работает для анал ИТИКИ 


Много идей, но нет времени их реализовать? 
кл РИ поиска аномалий, не работает для 
принятия решений. 


(652 Просто 


++ 
= ® ++ 
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рн факты 


История пользователей, их действия, 
“порядочность”. 

Скоринг-модель должна учитывать 
резкую смену поведения. 


Если много денюшков — решения 
класса “сессионный антифрол”. 


НЕ) НЕНГоаа"" 


Исторические факты 


® Для своего решения вы должны быть большими 
(рекламные пиксели, покупки, трекинг прочих действий) 

е Решение на минималках — один из публичных вариантов 
гесар{спа у3, зтацсарспа 

® Используются ботнеты или кража данных для накрутки 
“истории” 

® Возможен реверс скоринговой модели (зайти в дтай, 
посмотреть ролик на уощире => увеличить скоринг в 
гесар{спа) 


Вывод: отлично работает, но и легко обходится. 


Для новых пользователей или устройств ухудшается ЦХ (но) -^. в 


Применимость подходов 


Метод противодействия Применимость Проблемы Преимущества 


Сар{спа Предотвращение Уменьшение конверсии, Легкая интеграция 


множественных действий | низкая стоимость обхода 


Ро\// Отражение О)о$ Проблемы с старыми Возможно увеличивать 

устройствами, сложность по мере 

околонулевая стоимость вырастающей атаки 

обхода 
Анализ поведения Клик-боты, фрод Долго, дорого, Поможет в аналитике 
неэффективно проверить, какие боты 
остались 
История Широкая, шажок к Плохо применим к новым Стабильность, 
антифроду клиентам или увеличение 

устройствам стоимости атаки 


(нь) ННоаа"" 


Методы блокировок 
и способы их обхода 


(но) ННЕоаа"" 


Ограничение доступа по |Р 


В том числе используя обмен данными (например, с {Пгеа{ 
|п{еШодепсе) 


Не панацея, потому что: 
. Стоимость ргоху очень мала (особенно, если руб) 


. Подключают операторские ргоху 


. Используют легитимные [ГР (ботнеты из роутеров) 


(но) ННоаа"" 


По фингерпринтам — ЗУМ 


Е У О ООО 
етот кз] — Нинови | 
Г[теееш» Г Ряжо:е | 


БезНпаНоп А94ге$$ 
Орбы 


5 бециепсе Митфег 


Аскпомедотец Мише 


| Аеь 
ЕЕ ОЗ 
ОНзе! ТМ 


ТСР-пакеты, в свою очередь, 
различаются в зависимости от 
операционной 
системы/устройства. Ловят через 
аналоги ро? 


Обходят через ОЗю<ег-па 


НЕ) НЕНГоаа“" 


По фингерпринтам — ТЗ 


т Фингерпринт ЭЗМТЕЗ$-клиентов. 


у Тгапзрогф Ёауег 5есиг1Ху 
у 1Т15\1.2 Весога Ёауег: Напа$Ваке Ргофосо1: С11еп+ Не\1о 
Сопфеп{ Туре: Напа$паКе (22) 
\ег$1оп: ТЁ$ 1.0 (0х0301) 
ЕепаЕВ: 520 Р 6 6 
у Напа5Паке Ргофосо1: С11еп{ф Не11о азные и лиотеки 
Напазваке Туре: С11епе Не\Ло (1) 


поддерживают разные шифры и 


\ег$10п: ТЕ$ 1.2 (0х0303) 

»> Вапаот: с68122224348607саб8264с1074с6с9с9са097сеае7845с... 
аседол: 10. Теповйе 82 расширения, из них можно 
5е5510п 10: 109е8165еа20а0456е75552697818052546а0371725427с79... 


Сёрпег Зи3Жез Гепотв: 34 слепить уникальн ЫЙ 


> Слрпег би1щез (17 зи1“е$) 
Сотрге$$1оп МеНоЧ$ 1епдаеП: 1 : 3 
> Сотрге$$1оп Мефро4$ (1 мефвоа) фингерпринт (как ла 
Ехфеп$10оп5 Гепофп: 409 
> ЕхХ{феп$1оп: Везегуеа (СВЕАЗЕ) (1еп=0) 
> Ехфеп$1оп: зегуег_пате (1еп=25) 
> ЕХ{еп$1оп: ех{епаед_тазег_зесгеф (1еп=0) > 6 
> Ех{феп$1оп: гепедо*1а*1оп_1пТРо (1еп=1) к". ингерпринты и О ХОДЯТСЯ 
> Ехфеп$1оп: зиррог%ед_дгоир$ (1еп=10) 
> Ехфеп$1оп: ес_ро1п*_Тогтаф$ (1еп=2) р ру 
> ЕХ{еп$10п: 5е5$$10оп_4{1сКеф (1еп=208) че е3 такие ИНСТ менты как 
» ЕхХфеп$1оп: арр\1са{1оп_Тауег_ргофосо\_педо%1а%{1оп (1еп=14) С | ТЁ$ 
> Ех{еп$1оп: зфафиз_гедиез* (1еп=5) УС = 
> Ех{феп$10п: $19пафиге_а19ог1Вт$ (1еп=20) 
> ЕХ{еп$10п: $19пе4_сегЕ1Р1сафе_1{1тезфатр (1еп=0) 
> Ехфеп$1оп: Кеу_5Наге (1еп=43) 


> Ех{феп$1оп: рзК_Кеу_ехспапде_то4е$ (1еп=2) о ь ++ 
‚ Ех+еп<1оп* сиорог+еЯ мегс1оп< (1еп=11) а. НЕИГоаа 
2022 


Аномалии в НТТР 


А 


Спготе Еа5е багап ЕАгеГох Орега 


4-78 — 12-18 
ЛА ВЛ м А 


оч 


О ло МЕ 
28 

87-106 87-106 4-16.0° 88-106 74-91 6-10 

А х 92 11 


107 107 


108-110 Я 6.2-ТР. 108-109 


е Назвался груздем — умей в 
поддержку НТТР 2/0 4С. 

е Поддерживай зесищу-фичи 
(ЗОР, НЗТ$, С$Р) 

е Умейв Ого 

® Правильно сортируй 
заголовки и т.д. 


Для обхода — воспроизводят 
запросы браузера. Но легче 
использовать сам браузер. 


По фингерпринтам — окружение 


браузеров 


Р1а{Фогт 


=, ^ 


Зсгееп Везоиюп 
пзфаНеа Фоп{$ 


Тте 2опе 


Ри9т$ 


++ ++ * 
+* ++ + 
++ * 
** * ++ 
* %* + +++ ** ++ * +*%* 
Со ог Оерп ** *% * х* ххх чих *** 
** -- *** хх  %и% *** 
** ++ ++ ++**%  *** *+** 
ОНИ -ЧИ-- к" *, 15 АЧЫоск $е+ ог по* 
я хх  Жих  ЖЖх 
** жж *** **х 
*#** * +** Б—оододкдк0к0006060606060600————_ 
*%*»х *+* 
** +++ *+* 
*+**+ +** +#** *+* 
*** ** *** ** 
СРИ са$$ хжжх + * жж * *** 
++ хх ххх 
* 


. в м Рахе! гайо 
——_—_—__ 


Поддерживаемые АРТ, 
информацию из браузера, 
все до чего можно 
дотянуться — тысячи их. 
Собирают легитимное 
окружение чем-то типа 
Нпдегрипб$з. 


Переопределяют в 
рпатот]$/сПготе Пеаез$. 


НЕ) Меньоаа"" 


Что по итогу 


Все методы одинаково хороши, но есть нюансы. 

В связке работают лучше, чем раздельно. 

Необходимо вести скоринговую модель принятия решений. 
Нельзя использовать логику на клиентской стороне. 


Напрашивается ведение базы хороший/плохой бот. 


(но) ННоаа"" 


Всякие умные надписи 


(но) ННЕоаа"" 


Трудно найти, легко потерять, невозможно забыть 


Нужно понимать, сколько вы теряете, а может в 
вашем случае большую часть выручки делают 
боты? 


(но) ННЕоаа"" 


Защищать дешевле, чем атаковать 


Вы занимаетесь бизнесом. Но создатели ботов 
тоже зарабатывают — это их бизнес, только 
другои. Просто иногда для этого они используют 
ваш сервис. 


(но) ННоаа"" 


Защита — это увеличение стоимости атаки 


Взломать или обойти можно всё, как правило, это 
вопрос ресурсов. Поэтому атаковать будут всегда, 
но защищенную систему атаковать менее 
рентабельно. 


(но) ННоаа"" 


эзесигку {Игочдай обзсиг у“ 


Блокировка - не лучший вариант. Давая обратную 
связь, злоумышленник использует другие методики. 


Лучше не допускать гонку вооружении. 


(но) ННЕоаа"" 


Принципы защиты 


. Нужны правильно приготовленные рейт-лимиты 
. Дешевые метрики — тоже работают (11$, версии НТТР) 
. Внедрять защиту по мере присутствия проблем 
. Затрудняем нападение, не давая обратную связь 
(в идеале, чтобы злоумышленник не знал, что он вообще 


заблокирован) 


(но) ННЕоаа"" 


Вопрос залу 


При А/В-тестировании дизайна старый вариант всегда лучше, 
чем новые тестируемые. 


Как на это могут влиять боты и почему? 


(но) ННоаа"" 


Про будущее — \\ебАшйп, Арре Раззкеу 


& зап 2е ЕЧи Мем Н&югу Вооктакз$  \М/Ипаом Нер и) > СД & Молиб 9:41 АМ 


ео Ш. < о В рогсита.сот © 


Зап т Сапсе! 


Оо уоиц уап\ {о зауе а раззКеу ‘юг 
“свеЙа_боепт@/сюид.сот"? РаззКеуз аге зауед т 
уоцг С!юча Кеуспат апд аге ауаЙаЫе ог $1дп п оп а! 
уоиг демсез. 
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